Cyber Threat Intelligence 전문가 교육은?
내가 속한 조직을 사이버 위협으로부터 지키기 위해서 무엇이 필요할까요? 바로 사이버 공격자(Adversary)의 악의적인 의도, 능력, 기회와 관련된 정보와 데이터를 수집하고 분석할 수 있는 능력이 필요합니다. CTI(Cyber Threat Intelligence)는 사이버 공간을 안전하게 지키기 위해 필요한 위협 및 위협 행위자(Threat Actor)에 대한 정보인데요, 이러한 위협 정보를 통해 위협 탐지 및 공격 패턴 분석, 위협 대응 방법 등을 분석해낼 수 있습니다.
본 교육은 MISP를 이용한 CTI 플랫폼을 구축해보고, 위협 정보의 표준이라고 할 수 있는 ‘MITRE ATT&CK’ 에 대한 지식과 실습을 경험할 수 있습니다. Cyber Threat Intelligence 전문가 교육에서 필요한 정보에 접근하기 위한 방법론과 정보 수집을 위한 플랫폼을 경험해보세요!
누가 교육을 받아야 할까요?
-
군/공공기관 및 기업 보안 담당자
-
기업 보안 정책 담당자
-
침해사고 대응 및 분석 담당자
-
보안 관제 담당자
-
위협 인텔리전스 담당자
-
기타 사이버 보안 위협 관련 업무 담당자
Cyber Threat Intelligence 전문가 교육이 필요한 이유는 무엇일까요?
-
사이버 위협으로부터 조직을 지키기 위한 전략
-
CTI의 기본 개념과 단계별 접근 방식
-
CTI를 위한 MISP 플랫폼 경험 및 구축
-
정적/동적 Indicator 추출 및 Pivoting
-
Yara를 사용한 Threat Hunting
-
MITRE ATT&CK
커리큘럼
- STEP 1 [사이버 위협 정보분석 개요]
-
1. CTI(Cyber Threat Intelligence) 개념과 3단계 레벨
– CTI의 기본 개념과 CTI가 필요한 이유
– 정보분석 단계의 3단계 이해2. CTI를 위한 정보 출처
– CTI를 위한 다양한 정보 출처 종류와 각 출처 별 상세내용 실습
3. CTI 기반의 보안 운영
– CTI 기반의 운영 방법론
4. 악성코드 기반의 CTI 프로세스
– 악성코드 관점에서의 CTI 프로세스
5. CTI를 이용한 위협 탐지/대응 개념
– CTI를 활용한 위협 탐지 및 대응
- STEP 2 [MISP를 이용한 CTI 플랫폼 구축]
-
1. CTI를 위한 MISP 플랫폼 소개
– MISP(Malware Information Sharing Platform)란 무엇인가?
– MISP를 활용한 데이터 구성 방법2. MISP 구축 실습
– MISP 구축 및 플랫폼 탐색
- STEP 1 [악성코드에서 Indicator 추출]
-
1. 정적 지표 소개 및 추출 기법
– 정적 Indicator의 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습2. 동적 지표 소개 및 추출 기법
– 동적 Indicator 개념
– 악성코드에서 정적 Indicator 추출 방법론 및 실습3.네트워크 지표 소개 및 추출 기법
– 네트워크 상에 나타나는 Indicator 탐색 및 추출 실습
- STEP 2[Indicator를 이용한 Pivoting]
-
1. 네트워크 지표 기반의 Pivoting 기법
– VirusTotal을 활용하여 추출한 네트워크 Indicator를 Pivoting 하는 기술
2. 네트워크 지표를 이용한 Pivoting 실습
– 특정 도메인의 네트워크 Indicator를 이용한 Pivoting 실습
- STEP 3 [Clustering & Correlation]
-
1. TLSH 활용
– 정적 Indicator의 개념
–악성코드 클러스터링 및 분류 알고리즘인 TLSH를 활용해 특정 위협 그룹을 추적하는 방법론 및 실습2. Imphash 활용
– 악성코드 클러스터링 및 분류 알고리즘인 Imphash를 활용해 특정 위협 그룹을 추적하는 방법론 및 실습
3. Rich Header Hash 활용
– 파일 안의 Rich Header 부분을 통해 공격 그룹의 특징을 발견하는 방법 실습
3. .NET Module ID 활용
– 모듈을 Build할 때 생기는 GUID인 MVID값을 이용해 공격 그룹의 특징을 발견하는 방법론 및 실습
3. 기타 Clustering 기법 활용
– PDB Path 등의 정보를 활용한 Clustering기법 실습
- STEP 1 [Threat Hunting을 위한 Yara Rule]
-
1. Yara 기본 문법
– Yara 룰 개요와 기본 사용 방법, 문법
2. Yara 사용 사례 분석 및 실습
– Yara 모듈을 사용한 일반적인 악성코드 사례 분석
3. Yara 사용 고급 사례 분석 및 실습
– Yara 모듈의 기능을 확장하여 악성코드를 분석하는 사례 탐구
– Threat Hunting 실습
- STEP 2 [MITRE ATT&CK]
-
1. MITRE ATT&CK 개념
– 현실 세계를 기반으로 적(Adversary)의 전술(Tactics), 기술(Techniques)과 절차(Procedures)를 체계화한 ‘MITRE ATT&CK’ 개념
2. 분석 보고서와 MITRE ATT&CK 연결 사례 및 실습
– MITRE ATT&CK을 실무에 적용하는 절차
- 분석 보고서와 매핑하는 방법론 및 실습3. Raw 데이터와 MITRE ATT&CK 연결 사례 및 실습
– Raw Data(원시데이터)를 MITRE ATT&CK 와 연결해 직관적인 인지와 분석을 할 수 있는 방법론 및 실습
실습도구
1. 실습 환경
− VMware Workstation : 가상머신 소프트웨어
− MISP (Malware Information Sharing Platform) : 사이버 위협 정보 공유 및 관리 오픈 소스 플랫폼
2. 분석 도구
− CAPA : 실행 파일 기능 분석 도구
− CyberChef : 다양한 데이터 변환 및 분석 도구 (해시, 인코딩/디코딩, 암호화/복호화 지원)
− HashmyFiles : 파일 해시 값 생성 및 비교 유틸리티
− PEView : PE(Portable Executable) 파일 포맷 분석 및 구조 시각화 도구
− Process Explorer : 시스템에서 실행 중인 프로세스 분석 도구 (프로세스 핸들, DLL 분석 가능)
− TimeLord : 시간 데이터를 다양한 형식 별로 분석할 수 있는 도구
− URLScan : 웹 사이트 스캔 도구
− Visual Studio Code : 소스 코드 편집기
− VTI(VirusTotal Intelligence) : 악성코드 샘플, YARA 규칙, 동적 분석 데이터를 활용한 위협 데이터 분석 웹 서비스
− WireShark : 네트워크 패킷 캡쳐 및 패킷 분석 도구
− Yara : 패턴 기반 악성코드 식별 및 분류 도구
교육을 듣기 전 필요한 지식은?
-
컴퓨터 공학 및 소프트웨어 공학
-
.png)
정보보안 관련 도메인(Domain) 지식
-
.png)
DFIR(Digital Forensic and Incident Response) 관련 지식과 경험
-
위협헌팅 및 악성코드 헌팅 관련 지식과 경험
-
악성코드 분석 및 리버스 엔지니어링(Reversing Engineering) 관련 지식과 경험
강사소개
교육장비 살펴보기
교육 후기
교육 미리보기
.jpg)
사전안내
1) 노트북 대여
- 저희 교육의 대부분은 실습교육으로 이루어져 있으므로 필요한 소프트웨어를 노트북에 모두 설치하여 제공합니다.
2) 교육자료
- 교육자료는 교재(인쇄물)의 형태로 제공합니다.
수강 신청 및 결제방식
계좌이체 선택 시
- NSHC 보안교육팀 이메일 (training@nshc.net) 로 [사업자 등록증 사본] 및 [세금계산서 담당자 성명/이메일/전화번호]를 보내주세요.
- 수신이 확인되면 고객 측에 청구를 위한 세금계산서를 발행한 후, [NSHC 사업자등록증] 및 [NSHC 통장사본]을 송부해 드립니다.
카드 결제 선택 시
- NSHC 보안교육팀 이메일 (training@nshc.net) 로 문의해주세요.
- 카드 결제 후 매출전표(영수증)를 이메일로 보내드립니다.
환불안내
교육행사 시작 [7일 전]까지 취소한 경우 – 교육비 전액 환불 가능
교육행사 시작 [7일 전 ~ 당일]에 취소한 경우 – 취소 수수료 10% 부과
